社交工程

1 文章

三个真实的网络攻击事件:利用互联网黑客入侵、盗取信息并毁掉他人生活

多年的经验告诉我们,即使是经验最丰富的老用户也无法保护自身免遭针对性黑客攻击。随着我们的日常生活与互联网和其他网络愈来愈息息相关,在线安全也就成为了亟须解决的问题。 如今,几乎每个人都有自己的邮箱、社交媒体和网银账号。人们通常在线订购商品、使用移动网络验证身份(例如,双因素认证解决方案)以及做一些其他重要事情。但不幸的是,所有这些系统均或多或少存在不安全性。 我们的在线互动越多,则越可能成为狡猾网络黑客的目标;安全专家们则将这一现象称为”攻击面”。攻击面越大—则越容易遭受网络攻击。通过了解以下三个发生在三年前的案例故事,你将能彻底明白这些网络攻击的实施方式。 如何盗窃账号:黑客入侵或只需一个电话? 其中网络黑客使用的最强大工具之一就是”黑客入侵”,又称社交工程。2016年2月26日,Fusion的编辑Kevin Roose决定检验这一工具是否真如传说中的那般强大。社交工程黑客Jessica Clark和安全专家Dan Tentler应邀接受了这项挑战。 Jessica立下承诺:只需一个电话就能黑客入侵Kevin的邮箱,最后她如愿成功完成了挑战。首先,她的团队制作了一个长达13页的个人资料,内容涵盖叫做Roose这个人的完整信息,比如:他的喜好与厌恶等等内容。所有这些资料均从公共资源获得。 一切准备停当后,Jessica假用Kevin的手机号码拨通了电话公司的号码。为了增加真实感,她还有意在电话旁播放婴儿哭闹的视频。 Jessica自称是Roose的妻子,表示她和她的”丈夫”打算申请贷款,但自己因为年轻又疲于照顾孩子因此忘了他们经常使用的邮箱地址。她的巧令言辞加上电话那头孩子的哭闹声,很快就说服了客服重置邮箱密码,进而获得其目标邮箱的访问权。 Dan Tentler则是利用网络钓鱼完成挑战。首先,他注意到Kevin在Squarespace上开有博客,因此向他发送伪造该博客平台的所谓”官方电邮”。在邮件中,”Squarespace管理员”要求用户为了”安全”起见升级SSL证书。事实上所附文件与安全保护毫无关系,而是让Tentler能获取Kevin的PC电脑访问权。之后,Dan创建了几个伪造的弹出窗口要求Roose填写具体的登录凭证—接下来一切就变得轻松简单了。 Tentler成功获取了Kevin的银行数据、邮箱和网店的登录凭证,以及信用卡资料和社会安全号。此外,Dan还盗取了Roose的不少照片及截屏。在整整48小时的黑客入侵过程中,这一切都是每2分钟自动进行一次的。 如何在一晚上成功抢劫软件工程师 2015年春天,软件开发者Partap Davis不幸损失了3000美元。在晚上短短的几个小时时间,一个不明身份的网络黑客成功盗取了他的2个邮箱账号、电话号码和推特账号。该名网络犯罪分子聪明地绕过了双因素认证系统,并将Partap的比特币电子钱包一卷而空。你可以想象,第二天早上Davis看到这一切后的沮丧心情。 值得注意的是,Patrap Davis是一名经验非常丰富的互联网用户:他总是选择可靠的密码且从不点击任何恶意链接。他的邮箱采用Google的双因素认证系统保护,如果用新电脑登录时,还必须输入6位数字并发送到他的手机号码。 Davis的主要存款是他的3个比特币钱包,采用Authy移动应用的另一项双因素认证服务进行安全保护。尽管Davis采用了所有这些合理的安全保护措施,但依然未能避免针对性黑客攻击。 在该事件发生后,Davis非常恼火并花了几周时间试图找出背后的犯罪分子。此外,他还向The Verge编辑发出了求助。最终,他们一道设法努力找出了这一黑客攻击的运行方式。 由于Davis使用Patrap@mail.com作为其主邮箱地址。而在这之后,所有邮件均进入了另一个名字相似的Gmail邮箱里(而Patrap@gmail.com之前已被他人注册)。 有那么几个月时间,所有人都认为只需从Hackforum购买一个特殊脚本,就能利用Mail.com密码重置页的弱点实施针对性攻击。显然,这一脚本也被用来绕过双因素认证和更改Davis密码。 在这之后,网络黑客请求对Davis的AT&T账号设置新密码,并要求客服将Davis的所有来电转至长滩的一个电话号码。客服在收到邮件确认后,同意由犯罪分子控制进入来电。因此一旦拥有这一功能强大的工具,绕过Google的双因素认证并获取Davis的Gmail账号访问权将不再是难事。 由于短信还是依然发送到Davis的原有手机号码,而网络黑客则利用Google辅助功能的缺陷绕过短信认证。它能提供语音朗读确认码服务。Gmail就是这样被黑客入侵的,而唯一能阻止黑客攻击的工具就只有Authy应用了。 要想解决这一障碍,不法分子只需使用mail.com邮箱地址在其手机上重置这一应用,就能重新收到语音版的确认码。在绕过了所有安全保护措施后,网络黑客得以更改Davis其中一个比特币钱包的密码,进而利用Authy和mail.com邮箱地址将全部比特币一卷而空。 但其他两个账户的资金却未能成功转移。其中一个网络服务规定,在密码重置后48小时内不得取款。而另一个则要求提供Davis驾照的扫描件,显然网络黑客无法提供。 毁掉他人生活的恶意黑客攻击 在几年前,所有当地的咖啡店和饭店纷纷开始向他们送匹萨、馅饼和其它各类食品外卖,但问题是他们从未订购过这些东西。每次Paul和Amy